Dévoiler le piège de phishing des signatures Uniswap Permit2 : attention à la signature, vous pourriez être volé
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les équipes de projet, l'open source rend les vulnérabilités inévitables ; pour les utilisateurs individuels, chaque interaction sur la chaîne peut entraîner un risque de vol d'actifs. Par conséquent, la question de la sécurité a toujours été un point sensible dans le monde de la cryptographie, et les caractéristiques de la blockchain rendent difficile la récupération des actifs volés, ce qui rend la maîtrise des connaissances en sécurité particulièrement importante.
Récemment, une nouvelle méthode de phishing est apparue, qui peut entraîner le vol d'actifs simplement en signant, cette méthode étant discrète et difficile à prévenir. Les adresses ayant interagi avec une certaine plateforme de trading peuvent toutes être à risque. Cet article analysera cette méthode de phishing par signature afin d'aider les lecteurs à éviter des pertes d'actifs supplémentaires.
déroulement de l'événement
Un ami a vu les actifs de son portefeuille, (, volés, mais il n'a pas divulgué sa clé privée ni interagi avec des contrats suspects. L'enquête a révélé que les USDT de cet ami ont été transférés via la fonction Transfer From, ce qui signifie qu'un tiers a opéré le transfert des actifs, et non une fuite de la clé privée du portefeuille.
Pour enquêter davantage sur les détails de la transaction, on découvre :
Une adresse transférera les actifs de A vers une autre adresse
Cette opération interagit avec le contrat Permit2 d'une plateforme d'échange.
La question clé est : comment cette adresse a-t-elle obtenu l'autorisation d'accéder aux actifs de Xiao A ? Pourquoi est-elle liée à cette plateforme de trading ?
Une enquête montre qu'avant de transférer les actifs de A, cette adresse a également effectué une opération de Permit, et les deux opérations interagissent avec le contrat Permit2 de cette plateforme de trading.
Le contrat Permit2 est un nouveau contrat lancé par la plateforme de trading à la fin de 2022, visant à réaliser le partage et la gestion des autorisations de jetons entre différentes applications, offrant une expérience utilisateur plus uniforme, efficace et sécurisée. À l'avenir, avec l'intégration de plus de projets, Permit2 devrait permettre l'approbation standardisée de jetons entre applications, réduisant les coûts de transaction et améliorant la sécurité.
Le lancement de Permit2 pourrait changer les règles de l'écosystème Dapp. Dans le modèle traditionnel, les utilisateurs doivent autoriser chaque interaction avec le Dapp séparément, tandis que Permit2, en tant qu'intermédiaire, permet aux utilisateurs de n'autoriser qu'une seule fois, et tous les Dapps intégrant Permit2 peuvent partager le montant de l'autorisation. Cela améliore l'expérience utilisateur, mais cela pourrait également présenter des risques, la question résidant dans la manière d'interagir avec Permit2.
Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, tandis que les opérations sur chaîne sont effectuées par un rôle intermédiaire. Cela permet aux utilisateurs de payer le Gas sans ETH ou de le faire payer par un rôle intermédiaire, mais la signature hors chaîne est également l'étape que les utilisateurs ont le plus tendance à négliger.
Revenons à l'exemple de Xiao A, le vol d'actifs est lié à l'interaction avec le contrat Permit2. La condition clé est que le portefeuille phishé doit avoir été autorisé à interagir avec le contrat Permit2. Il est important de noter qu'actuellement, pour effectuer un Swap sur les Dapps intégrant Permit2 ou sur cette plateforme de trading, une autorisation doit être accordée au contrat Permit2.
Ce qui est encore plus préoccupant, c'est que, quel que soit le montant de l'échange, le contrat Permit2 de cette plateforme d'échange exige par défaut l'autorisation de l'intégralité du solde. Bien que le portefeuille propose un montant d'entrée personnalisé, la plupart des utilisateurs pourraient choisir directement la valeur maximale ou par défaut, et la valeur par défaut de Permit2 est un montant illimité.
Cela signifie que toute interaction avec cette plateforme de trading et l'autorisation du contrat Permit2 après 2023 pourrait exposer au risque de ce piège à yeux.
Le cœur de l'eyewash réside dans la fonction Permit, qui permet de transférer le montant des tokens autorisés au contrat Permit2 à d'autres adresses par le biais d'une signature. Une fois que le hacker obtient la signature, il peut manipuler les tokens dans le portefeuille de l'utilisateur et transférer des actifs.
) Analyse détaillée de l'événement
La fonction Permit est similaire à la signature en ligne d'un contrat, permettant d'autoriser à l'avance une autre personne ###spender( à utiliser un certain nombre de jetons à l'avenir. La fonction vérifie la durée de validité de la signature, valide l'authenticité de la signature, puis met à jour les enregistrements d'autorisation.
La fonction verify extrait les données v, r, s des informations de signature, utilisées pour restaurer l'adresse de signature et la comparer à l'adresse du propriétaire du token. Si la vérification est réussie, elle continue en appelant la fonction _updateApproval.
La fonction _updateApproval met à jour la valeur d'autorisation après vérification de la signature, permettant le transfert de droits. À ce moment, le bénéficiaire autorisé peut appeler la fonction transferfrom pour transférer des jetons à une adresse spécifiée.
![Signature volée ? Dévoilement de l'eyewash de phishing de la signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Analyse des transactions réelles sur la chaîne est visible :
owner est l'adresse du portefeuille de Xiao A
Les détails affichent l'adresse du contrat Token autorisé )USDT( et d'autres informations telles que le montant.
Spender est l'adresse du hacker
sigDeadline est le temps de validité de la signature
signature est l'information de signature de petit A
![Signature volée ? Dévoilement de l'escroquerie par phishing de signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
En examinant les enregistrements d'interaction de Xiao A, on découvre qu'il a précédemment accordé une autorisation par défaut pour un montant presque illimité lorsqu'il utilisait cette plateforme de trading.
![Une signature volée ? Révélations sur le piège de phishing des signatures Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
En résumé, le petit A avait auparavant autorisé un montant illimité de USDT au contrat Permit2, puis est tombé par erreur dans un piège de phishing conçu par des hackers utilisant une signature Permit2. Après avoir obtenu la signature, les hackers ont exécuté des opérations de Permettre et de Transférer depuis dans le contrat Permit2, transférant les actifs du petit A. Actuellement, il semble que le contrat Permit2 de la plateforme de trading soit devenu un terreau de phishing, cette méthode de phishing ayant commencé à être active il y a environ deux mois.
) Comment se prémunir?
Étant donné que le contrat Permit2 pourrait devenir plus courant à l'avenir, de plus en plus de projets pourraient intégrer ce contrat pour le partage d'autorisations. Les mesures de prévention efficaces comprennent :
Comprendre et identifier le contenu de la signature :
Une signature Permit contient généralement des informations clés telles que Owner, Spender, value, nonce et deadline. L'utilisation de plugins de sécurité aide à identifier ce format de signature.
![Signature volée ? Découvrez le piège de phishing de la signature Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Séparation du stockage des actifs et du portefeuille d'interaction :
Il est conseillé de stocker une grande quantité d'actifs dans un portefeuille froid, tandis que le portefeuille interactif ne doit conserver qu'une petite quantité de fonds pour réduire les pertes potentielles.
Limiter le montant d'autorisation ou annuler l'autorisation :
Lors d'un Swap sur cette plateforme de trading, n'autorisez que le montant d'interaction requis. Bien que le fait de devoir réautoriser à chaque interaction augmente les coûts, cela permet d'éviter le risque de phishing lié aux signatures Permit2. Les utilisateurs autorisés peuvent utiliser un plugin de sécurité pour annuler l'autorisation.
![Signature volée ? Découvrez l'escroquerie de phishing Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
Identifier si le jeton prend en charge la fonction permit :
Faites attention à savoir si les jetons auto-détention prennent en charge cette fonctionnalité. S'ils le font, soyez particulièrement prudent et vérifiez soigneusement chaque signature inconnue.
Élaborer un plan d救援 d'actifs complet :
Si vous découvrez que vous avez été victime d'une arnaque mais que vous avez encore des jetons sur d'autres plateformes, il est nécessaire d'extraire et de transférer avec prudence. Envisagez d'utiliser un transfert MEV ou de demander l'aide d'une équipe de sécurité professionnelle pour éviter qu'un hacker ne vous intercepte à nouveau.
À l'avenir, le phishing basé sur Permit2 pourrait devenir plus courant, cette méthode de phishing par signature étant extrêmement discrète et difficile à prévenir. Avec l'expansion de l'application de Permit2, le nombre d'adresses exposées au risque augmentera également. J'espère que les lecteurs pourront diffuser largement cette information pour éviter que davantage de personnes ne subissent des pertes.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
7 J'aime
Récompense
7
2
Partager
Commentaire
0/400
MetaverseLandlord
· 08-04 15:24
Encore ? Qui peut supporter cette taxe sur l'intelligence ?
Voir l'originalRépondre0
GateUser-40edb63b
· 08-04 15:15
Je suis désolé, je vais encore perdre de l'argent...
Nouvelle arnaque de phishing par signature Permit2 : les utilisateurs de la plateforme doivent être vigilants.
Dévoiler le piège de phishing des signatures Uniswap Permit2 : attention à la signature, vous pourriez être volé
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les équipes de projet, l'open source rend les vulnérabilités inévitables ; pour les utilisateurs individuels, chaque interaction sur la chaîne peut entraîner un risque de vol d'actifs. Par conséquent, la question de la sécurité a toujours été un point sensible dans le monde de la cryptographie, et les caractéristiques de la blockchain rendent difficile la récupération des actifs volés, ce qui rend la maîtrise des connaissances en sécurité particulièrement importante.
Récemment, une nouvelle méthode de phishing est apparue, qui peut entraîner le vol d'actifs simplement en signant, cette méthode étant discrète et difficile à prévenir. Les adresses ayant interagi avec une certaine plateforme de trading peuvent toutes être à risque. Cet article analysera cette méthode de phishing par signature afin d'aider les lecteurs à éviter des pertes d'actifs supplémentaires.
déroulement de l'événement
Un ami a vu les actifs de son portefeuille, (, volés, mais il n'a pas divulgué sa clé privée ni interagi avec des contrats suspects. L'enquête a révélé que les USDT de cet ami ont été transférés via la fonction Transfer From, ce qui signifie qu'un tiers a opéré le transfert des actifs, et non une fuite de la clé privée du portefeuille.
Pour enquêter davantage sur les détails de la transaction, on découvre :
La question clé est : comment cette adresse a-t-elle obtenu l'autorisation d'accéder aux actifs de Xiao A ? Pourquoi est-elle liée à cette plateforme de trading ?
Une enquête montre qu'avant de transférer les actifs de A, cette adresse a également effectué une opération de Permit, et les deux opérations interagissent avec le contrat Permit2 de cette plateforme de trading.
Le contrat Permit2 est un nouveau contrat lancé par la plateforme de trading à la fin de 2022, visant à réaliser le partage et la gestion des autorisations de jetons entre différentes applications, offrant une expérience utilisateur plus uniforme, efficace et sécurisée. À l'avenir, avec l'intégration de plus de projets, Permit2 devrait permettre l'approbation standardisée de jetons entre applications, réduisant les coûts de transaction et améliorant la sécurité.
Le lancement de Permit2 pourrait changer les règles de l'écosystème Dapp. Dans le modèle traditionnel, les utilisateurs doivent autoriser chaque interaction avec le Dapp séparément, tandis que Permit2, en tant qu'intermédiaire, permet aux utilisateurs de n'autoriser qu'une seule fois, et tous les Dapps intégrant Permit2 peuvent partager le montant de l'autorisation. Cela améliore l'expérience utilisateur, mais cela pourrait également présenter des risques, la question résidant dans la manière d'interagir avec Permit2.
Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, tandis que les opérations sur chaîne sont effectuées par un rôle intermédiaire. Cela permet aux utilisateurs de payer le Gas sans ETH ou de le faire payer par un rôle intermédiaire, mais la signature hors chaîne est également l'étape que les utilisateurs ont le plus tendance à négliger.
Revenons à l'exemple de Xiao A, le vol d'actifs est lié à l'interaction avec le contrat Permit2. La condition clé est que le portefeuille phishé doit avoir été autorisé à interagir avec le contrat Permit2. Il est important de noter qu'actuellement, pour effectuer un Swap sur les Dapps intégrant Permit2 ou sur cette plateforme de trading, une autorisation doit être accordée au contrat Permit2.
Ce qui est encore plus préoccupant, c'est que, quel que soit le montant de l'échange, le contrat Permit2 de cette plateforme d'échange exige par défaut l'autorisation de l'intégralité du solde. Bien que le portefeuille propose un montant d'entrée personnalisé, la plupart des utilisateurs pourraient choisir directement la valeur maximale ou par défaut, et la valeur par défaut de Permit2 est un montant illimité.
Cela signifie que toute interaction avec cette plateforme de trading et l'autorisation du contrat Permit2 après 2023 pourrait exposer au risque de ce piège à yeux.
Le cœur de l'eyewash réside dans la fonction Permit, qui permet de transférer le montant des tokens autorisés au contrat Permit2 à d'autres adresses par le biais d'une signature. Une fois que le hacker obtient la signature, il peut manipuler les tokens dans le portefeuille de l'utilisateur et transférer des actifs.
) Analyse détaillée de l'événement
La fonction Permit est similaire à la signature en ligne d'un contrat, permettant d'autoriser à l'avance une autre personne ###spender( à utiliser un certain nombre de jetons à l'avenir. La fonction vérifie la durée de validité de la signature, valide l'authenticité de la signature, puis met à jour les enregistrements d'autorisation.
La fonction verify extrait les données v, r, s des informations de signature, utilisées pour restaurer l'adresse de signature et la comparer à l'adresse du propriétaire du token. Si la vérification est réussie, elle continue en appelant la fonction _updateApproval.
La fonction _updateApproval met à jour la valeur d'autorisation après vérification de la signature, permettant le transfert de droits. À ce moment, le bénéficiaire autorisé peut appeler la fonction transferfrom pour transférer des jetons à une adresse spécifiée.
![Signature volée ? Dévoilement de l'eyewash de phishing de la signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Analyse des transactions réelles sur la chaîne est visible :
![Signature volée ? Dévoilement de l'escroquerie par phishing de signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
En examinant les enregistrements d'interaction de Xiao A, on découvre qu'il a précédemment accordé une autorisation par défaut pour un montant presque illimité lorsqu'il utilisait cette plateforme de trading.
![Une signature volée ? Révélations sur le piège de phishing des signatures Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
En résumé, le petit A avait auparavant autorisé un montant illimité de USDT au contrat Permit2, puis est tombé par erreur dans un piège de phishing conçu par des hackers utilisant une signature Permit2. Après avoir obtenu la signature, les hackers ont exécuté des opérations de Permettre et de Transférer depuis dans le contrat Permit2, transférant les actifs du petit A. Actuellement, il semble que le contrat Permit2 de la plateforme de trading soit devenu un terreau de phishing, cette méthode de phishing ayant commencé à être active il y a environ deux mois.
) Comment se prémunir?
Étant donné que le contrat Permit2 pourrait devenir plus courant à l'avenir, de plus en plus de projets pourraient intégrer ce contrat pour le partage d'autorisations. Les mesures de prévention efficaces comprennent :
![Signature volée ? Découvrez le piège de phishing de la signature Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Séparation du stockage des actifs et du portefeuille d'interaction : Il est conseillé de stocker une grande quantité d'actifs dans un portefeuille froid, tandis que le portefeuille interactif ne doit conserver qu'une petite quantité de fonds pour réduire les pertes potentielles.
Limiter le montant d'autorisation ou annuler l'autorisation : Lors d'un Swap sur cette plateforme de trading, n'autorisez que le montant d'interaction requis. Bien que le fait de devoir réautoriser à chaque interaction augmente les coûts, cela permet d'éviter le risque de phishing lié aux signatures Permit2. Les utilisateurs autorisés peuvent utiliser un plugin de sécurité pour annuler l'autorisation.
![Signature volée ? Découvrez l'escroquerie de phishing Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
Identifier si le jeton prend en charge la fonction permit : Faites attention à savoir si les jetons auto-détention prennent en charge cette fonctionnalité. S'ils le font, soyez particulièrement prudent et vérifiez soigneusement chaque signature inconnue.
Élaborer un plan d救援 d'actifs complet : Si vous découvrez que vous avez été victime d'une arnaque mais que vous avez encore des jetons sur d'autres plateformes, il est nécessaire d'extraire et de transférer avec prudence. Envisagez d'utiliser un transfert MEV ou de demander l'aide d'une équipe de sécurité professionnelle pour éviter qu'un hacker ne vous intercepte à nouveau.
À l'avenir, le phishing basé sur Permit2 pourrait devenir plus courant, cette méthode de phishing par signature étant extrêmement discrète et difficile à prévenir. Avec l'expansion de l'application de Permit2, le nombre d'adresses exposées au risque augmentera également. J'espère que les lecteurs pourront diffuser largement cette information pour éviter que davantage de personnes ne subissent des pertes.